Jak wynika z dowodów, jeden z polskich banków stał się celem udanego ataku cyberprzestępcy-szantażysty. Po spenetrowaniu systemów i – jak sam twierdzi – wykradnięciu około miliona złotych, włamywacz sam ujawnił naturę zdarzenia jednemu z polskich serwisów zajmujących się tematyką cyberbezpieczeństwa. Miał to zrobić dokładnie 10 kwietnia, czyli około trzy miesiące po wydarzeniu.
Plus Bank ofiarą hakera? – żąda 200 tys. zł okupu za milczenie
Z relacji włamywacza wynika, że przez kilka tygodni dysponował on pełnym dostępem do głównej strony WWW banku i serwera, na którym znajdował się system bankowości elektronicznej. Dzięki temu, umieścił na stronie banku odwołanie do skryptu Java Script, umieszczonego na innym serwerze. Postawiło go to w komfortowej sytuacji, w której otworem stanął przed nim bardzo szeroki wachlarz możliwości – od wyprowadzenia danych osobowych klientów oraz wykorzystywanych przez nich kart płatniczych, po wykonywanie operacji na poszczególnych kontach bez konieczności ich autoryzowania (poprzez podmianę adresatów przelewów zdefiniowanych), włącznie z możliwością automatycznego modyfikowania numerów docelowych rachunków w trakcie wykonywania transferów. Jeśli rzeczywiście dysponował takim dostępem do bankowego serwera, o jakim poinformował, można uznać, że sytuacja pozwalała mu na dokonanie opisanych kradzieży.
Bank, który padł ofiarą włamania przyznał, że zarejestrował kilka prób włamania, ale żadna się zakończyła się sukcesem. Włamywacz przedstawił jednak dowód w postaci zestawu pełnych danych kart płatniczych banku, danych osobowych z numerami telefonów komórkowych klientów banku, działających loginów i haseł wraz z saldami przypisanych rachunków. Koronnym dowodem była jednak przesłana serwisowi kopia bankowego serwera wraz z elementami systemu bankowości elektronicznej. Koszmar banku nie skończył się jednak po ujawnieniu wydarzenia. Z informacji, które otrzymał serwis zaufanatrzeciastrona.pl wynika, że abstrahując szkód wyrządzonych w trakcie włamania, cyberprzestępca postanowił także szantażować bank, grożąc ujawnieniem skradzionych danych.
Jak przyznał sam włamywacz, dostał się bankowego serwera m.in. dzięki luce, powstałej w wyniku braku regularnych aktualizacji oprogramowania. To jednak nie jedyne rzekome zaniedbanie banku. Włamywacz przyznał, że jeszcze w lutym wykonał przelew na bardzo wysoką kwotę z konta jednego z klientów banku. Transfer został ponoć odnotowany i zareklamowany. Bank miał jednak sugerować, że wina leży po stornie klienta, który nie dochował ostrożności. Gdyby eksperci instytucji przyjrzeli się sprawie bardziej uważnie, być może zauważyliby jakiekolwiek oznaki włamania. W marcu cyberprzestępca miał rzekomo prawie opróżnić konto jednego z nadmorskich hoteli. Transfery zostały na czas zareklamowane, zablokowane i skorygowane. Znów jednak zabrakło tej kluczowej dozy dociekliwości i dojścia do źródła nadużyć.
Sytuację komentuje Paweł Jakub Dawidek, dyrektor ds. technicznych, Wheel Systems:
„Jak chronić się przed tego typu zdarzeniami? Niestety, w przypadku, w którym cyberprzestępca uzyskuje bezpośredni dostęp do systemów banku, klienci instytucji są kompletnie bezradni. Nawet weryfikacja numerów rachunków do przelewów ani wertowanie historii transferów nic nie da, ponieważ włamywacz dysponuje środkami, które umożliwiają mu działanie bez pozostawiania widocznych śladów. Inaczej wyglądałaby sytuacja, gdyby kradzież środków następowała po stronie klienta, np. poprzez zainstalowany w laptopie malware. W takim wypadku klient banku miałby pewne możliwości działania, aby ustrzec się eskalacji oszustwa.
Paradoksalnie, w tym włamaniu nie chodzi o pieniądze, a jeśli nawet, to nie grają one znaczącej roli z perspektywy banku. Wykradzione środki da się bowiem „odtworzyć”. Straty najprawdopodobniej pokryje ubezpieczenie. Włamywacz grozi jednak czymś znacznie gorszym – ujawnieniem danych klientów banku. A jak wynagrodzić ludziom stratę w postaci upublicznienia ich tajemnic?
Zarząd zaatakowanego banku stoi więc przed dylematem, który może zaważyć na jego dalszym „być albo nie być”. Jeśli zapłaci okup, zachowa się nieetycznie, ale wyśle sygnał do klientów, że instytucja, której zawierzyli, robi wszystko, by nie dopuścić do obrotu ich danymi osobowymi i finansowymi. Powie przy tym całemu światu, że ma w zwyczaju płacić szantażystom. Jeśli zatem szybko nie wyciągnie odpowiednich wniosków może się spodziewać, że niebawem próby ataków się powtórzą.
Jeśli natomiast nie wpłaci okupu, a włamywacz zdecyduje się opublikować wykradzione dane, niewykluczone, że w bliskiej perspektywie czasowej bank przypłaci to utratą zawiedzionych klientów i w efekcie plajtą lub wręcz interwencją odpowiednich instytucji, które doprowadzą do jego zamknięcia.” – twierdzi Paweł Jakub Dawidek, dyrektor ds. technicznych, Wheel Systems.
źródło: Wheel Systems
Komunikat Plus Bank S.A. dot. bezpieczeństwa danych:
W związku z mediowymi doniesieniami, dotyczącymi bezpieczeństwa danych pragniemy poinformować, że pieniądze Klientów PlusBanku były i są bezpieczne. Jednocześnie informujemy, że w I kwartale bieżącego roku doszło w PlusBanku do przestępczego ataku grupy hackerów, który został wykryty i zablokowany. Bank po zidentyfikowaniu sposobu działania przestępców niezwłocznie podjął czynności zaradcze zmierzające do wzmocnienia systemów bezpieczeństwa. Dalsze próby cyberataku zostały udaremnione. Żaden z Klientów Banku nie poniósł uszczerbku finansowego.
Sprawa, o której donoszą media jest wydarzeniem historycznym, atak miał miejsce kilka miesięcy temu, a reakcja Banku była natychmiastowa: systemy zostały wzmocnione i dodatkowo zabezpieczone. W obliczu zdecydowanego oporu PlusBanku, przestępcy przyjęli obecnie metodę szantażu, polegającą na próbie wymuszenia od Banku kwot pieniężnych w zamian za nierozpowszechnianie w mediach informacji o incydencie. PlusBank stoi na stanowisku, że bezpieczeństwo Klientów i reputacja Banku stanowią najwyższy priorytet, dlatego też z osobami jawnie łamiącymi porządek prawny, których działania wymierzone są przeciwko Bankowi i jego Klientom, nie prowadzi żadnych negocjacji.
Bank na bieżąco współpracuje z organami ścigania, które od samego początku zajmują się wykryciem i ujęciem przestępców. Jesteśmy przekonani, że twarda postawa Banku związana z niepodejmowaniem żadnych prób negocjacji z przestępcami, a także wzmocnienie systemów bezpieczeństwa w dziedzinie prewencji związanej z bezpieczeństwem teleinformatycznym, działania Prokuratury i Policji oraz pozostałych instytucji, zaprowadzi przestępców w niedługiej perspektywie przed wymiar sprawiedliwości. Chcemy po raz kolejny zapewnić, że środki zdeponowane na rachunkach, lokatach w PlusBanku zawsze były i są w pełni bezpieczne.
Klienci PlusBank zawsze mają możliwość kontaktu z Bankiem, między innymi z Centrum Obsługi Klienta i Oddziałami Banku.
Z poważaniem, PLUS BANK S.A.
Kan
Włamanie to jedno, ale swoboda i czas poruszania się po serwerach banku już przeraża. Pieniądze klientów bezpieczne, ale dane i historia konta, już nie. To może kiedyś kolejny argument przy wyborze banku, bezpieczeństwo…
pieniadze.. a co z danymi osobowymi klientow? To juz dla banku bezwartosciowe informacje? Gdzie jest GIODO ?
do Adama – A gdzie masz bezpieczny bank? Wszędzie da się włamać niestety… Najważniejsze nie ulegać szantażom bo zachęca to innych plus złapanie złodzieja.
Brak kasy i kara – tylko to odstraszy kolejnych cwaniaków
Peter, a kto tu mówi o 100% bezpieczeństwie, jeśli banki muszą być wpięte do internetu. Jednak nie zaprzeczysz, że bezpieczeństwo w bankach jest na różnych poziomach. Kara?? Kogo chcesz karać? ;)) Hakera, który buszuje sobie bezkarnie po serwerach banku przez wiele miesięcy ??? Myślisz, że on nie wie, jak się zabezpieczyć, żeby nikt go nie wykrył?? ŻADNYCH SZANS, no chyba, że popełni błąd, albo doniesie na niego znajomy.
Informatyk banku sobie jaja robi. Jak Abonenci nie połączą usług łączonych telefon telewizje internet to zostaną ukarani po prostu Zygmunt liczy na zyski a nie na marne grosze albo straty
„przyjżeli się ” oj oj – przyjRZeli.